華為云服務（包含OBS、IMS、EVS、SFS和RDS）使用KMS提供的信封加密方式來保護用戶的數據。

說明：

信封加密方式，是一種加密手段，將加密數據的數據密鑰封入信封中存儲、傳遞和使用，不再使用用戶主密鑰直接加解密數據。

用戶通過華為云服務加密數據時，需要指定一個KMS用戶主密鑰。華為云服務會生成一個明文的數據加密密鑰和一個密文的數據加密密鑰，其中密文的數據加密密鑰是由指定的用戶主密鑰加密明文的數據加密密鑰生成的。華為云服務使用明文的數據加密密鑰來加密數據，然后將加密后的密文數據與密文的數據加密密鑰一同存儲在華為云服務中，如下圖所示。

圖1華為云服務使用KMS加密原理

用戶通過華為云服務下載數據時，華為云服務通過KMS指定的用戶主密鑰對密文的數據加密密鑰進行解密，并使用解密得到的明文的數據加密密鑰來解密密文數據，然后將解密后的明文數據提供給用戶下載。